複数ライセンス割引見積
コンピュータセキュリティ 米財務省への侵入の背後にいる中国支援のハッカーが今や世界のITサプライチェーンを狙っている

米財務省への侵入の背後にいる中国支援のハッカーが今や世界のITサプライチェーンを狙っている

コンピュータセキュリティMuraまで
翻訳内容:
日本語

米財務省の情報漏洩事件に最近関与が疑われた中国政府支援のハッカー集団、Silk Typhoon が現在も行っているサイバースパイ活動に、新たな危険な一面が加わった。Microsoft の脅威インテリジェンス チームは厳しい警告を発し、Silk Typhoon が現在、グローバル IT サプライ チェーンを積極的に悪用して企業に侵入し、監視を行い、機密データを盗んでいることを明らかにした。

この最新の活動は、Silk Typhoon の戦術の懸念すべき変化を示しています。このグループは、防御がしっかりしたクラウド プラットフォームを直接攻撃するのではなく、IT サービス プロバイダー、リモート監視および管理会社、マネージド サービス プロバイダー (MSP) など、世界中の企業ネットワークのセキュリティ保護と保守を担当する企業に狙いを定めています。

シルクタイフーンがITサプライチェーンに侵入する仕組み

Microsoft の研究者は、Silk Typhoon が盗まれた API キー、侵害された資格情報、特権アクセスを使用して、IT 企業に密かに侵入していることを発見しました。侵入すると、攻撃者は下流の顧客環境にまで手を伸ばし、無数の組織を危険にさらします。

これらの攻撃は単なる日和見的なものではありません。Silk Typhoon はハイブリッド環境を高度に理解しており、オンプレミスのインフラストラクチャとクラウド サービスの両方を巧みにナビゲートしています。マイクロソフトは、このグループが Entra Connect (旧 AADConnect) などの正当なツールを悪用して権限を昇格し、長期アクセスを維持していることを確認しました。

これらのエントリ ポイントを通じて、Silk Typhoon は次のことを実行します。

  • 内部システムを把握するための徹底的な偵察
  • ネットワーク間の横方向の移動
  • メール、ファイル共有、クラウドストレージからのデータ流出
  • ウェブシェルとOAuthアプリケーションを使用した永続的なアクセス

強力な防御がなければ誰も安全ではない

Microsoft は、直接の標的ではない組織であっても、IT プロバイダーを通じて巻き添え被害を受ける可能性があると警告しています。企業が共有 IT サービス、脆弱な資格情報管理、または古いソフトウェアに依存している場合は、すでに脆弱である可能性があります。

これまで、Silk Typhoon は Microsoft Exchange サーバー、VPN アプライアンス、ファイアウォールなど、幅広い製品への侵入に成功してきました。このグループは米国財務省への侵入の背後におり、BeyondTrust や PostgreSQL などのソフトウェアの脆弱性を悪用して、外国投資や制裁を扱うオフィスをスパイしていました。

シルクタイフーンが使用した高度な戦術

Silk Typhoon の最近の攻撃活動は、その巧妙さが増していることを浮き彫りにしています。Microsoft によると、このグループは次のような手法を使用していることが確認されています。

  • GitHub などの公開リポジトリで再利用された企業パスワードを発見するためのパスワード スプレー攻撃と偵察
  • 高度な権限を持つ OAuth アプリケーションが侵害され、MSGraph 経由で電子メール、OneDrive ファイル、SharePoint データを盗む
  • マルチテナントアプリケーションの侵害により、クラウド環境間でピボットし、異なる組織の機密リソースにアクセスできるようになります。
  • Exchange Web Services (EWS) API を悪用して電子メール通信を盗み出す

これらの攻撃が特に危険なのは、Silk Typhoon がユーザーの同意を得ているアプリケーションを乗っ取り、悪意のある活動を通常の操作に紛れ込ませる能力を持っていることです。

シルク台風の脅威が高まる

Microsoft は、Silk Typhoon を世界で最も拡大している中国の脅威グループの 1 つと説明しています。強力な支援とゼロデイ脆弱性を迅速に悪用するリソースを備えた同グループは、国や地方自治体、金融機関、IT サービス プロバイダーなど、さまざまな分野に重大な脅威をもたらします。

組織を保護する方法

こうした状況を踏まえ、マイクロソフトは組織に対して次のことを推奨します。

  • APIキーとOAuthアプリケーションを監査し、疑わしいアクセスや過剰な権限によるアクセスがないことを確認します。
  • 定期的なパスワード変更や多要素認証(MFA)など、強力な認証情報の衛生管理を実施する
  • すべてのシステム、特に高度な持続的脅威(APT)の標的になりやすいソフトウェアに速やかにパッチを適用します。
  • 特にサービス アカウントやクラウド アプリケーションに関連する異常なアクセス パターンを監視します。

    • IT サプライ チェーンが標的にされていることは、サイバー スパイ活動がもはや著名な政府機関だけのリスクではないことを証明しています。今日、共有インフラストラクチャやサードパーティ プロバイダーに依存するすべての組織は、自らを潜在的な標的として扱う必要があります。

    サイバーセキュリティの警戒はもはやオプションではありません。これは、最も機密性の高いデータから常に一歩離れている Silk Typhoon のような敵に対する唯一の防御策です。

    読み込んでいます...